New massive cyberattacks

Neue Cyberangriffswelle – Was ist passiert und wie können Unternehmen sich schützen?

Die Cyberangriffswelle, die am 27. Juni.2017 begann und weiter anhält, stellte sich zunächst als eine Fortsetzung des WannaCry-Angriffs dar. Wie bereits im vergangenen Mai wurde eine Ransomware eingesetzt, welche die betroffenen Unternehmen aufforderte, 300 Bitcoins für die Entschlüsselung der eigenen Daten zu bezahlen. Allerdings war die E-Mail-Adresse, über die man nach erfolgter Bezahlung den Schlüssel bekommen sollte, nicht erreichbar. Schnell wurde vermutet, dass durch diese neue Petya-Variante die Medien vermeintlich in eine falsche Richtung geleitet werden sollten, um die Aufmerksamkeit von einer möglich politisch motivierten Cyberattacke abzulenken. Das Ziel scheint hier kein finanzieller Profit zu sein, sondern die Erzeugung von Chaos und die Schädigung von Unternehmen.

Aber was ist genau passiert?

Am heftigsten wurde zunächst die Ukraine getroffen. Die Verbreitung wurde womöglich zuerst über das Update einer ukrainischen Steuer-Software namens MeDoc möglich. Diese Software wird von allen genutzt, die in der Ukraine steuerpflichtig sind. Also ein großes Angriffsziel. Wie genau das Update kompromittiert wurde, ist noch nicht klar. Unter den Vermutungen tummeln sich unter anderem:

  • Angreifer haben sich Zugriff auf das UpdateSystem von MeDoc verschafft
  • Bei Update-Anfrage der Opfer erfolgte eine Umleitung auf die Server der Kriminellen
  • Zugriff auf Update via Man-in-the-Middle-Angriff

Sicherheitsforscher und Experten sprechen bei dieser neuen Form von Angriff auch nicht mehr von Petya, sondern von NotPetya. Die Verbreitung nutzt allerdings die gleiche Lücke aus, die schon bei WannaCry zum Tragen kam, namentlich EternalBlue. Hier wird zum Eindringen eine Schwäche im SMB-Protokoll (SMB: Server Message Block: Ein Protokoll für die Datei- und Druckfreigabe in einem Netzwerk) von Microsoft genutzt. Weitere Verbreitungswege, wie das Einschleusen des Trojaners auf einzelne PCs via verstecktem Admin-Verzeichnis, werden ebenfalls eingesetzt.

Wenn das Einschleusen geklappt hat, also der PC infiziert ist, startet sich dieser neu und die Daten auf der Systemplatte und dem MBR (Master Boot Record) werden verschlüsselt.

Ad-hoc-Tipp bei Infizierung:

  • Rechner vor dem Hochfahren vom Strom nehmen. Eventuell wird so eine Datenverschlüsselung verhindert
  • Verschlüsselte Festplatten aufbewahren: Eventuell wird noch eine Entschlüsselung gefunden. Die Community ist schon dabei, selbst die Erfindergruppe von dem originären Petya hat seinen Twitter-Account reaktiviert und versucht es.

Generelle Empfehlung für den Cyberschutz:

  • Halten Sie Ihr Betriebssystem immer auf dem neuesten Stand
  • Browser und E-Mails sind die größten Einfallstore für Malware: Schützen Sie sich also mit unserem BSI-geprüften Browser in the Box
  • Überprüfen Sie Ihre Firewall-Einstellungen bzw. setzen Sie eher auf Next Generation Firewalls, die Whitelisting und Deep Packet Inspection ermöglichen, wie unsere gateprotect Firewalls [https://cybersecurity.rohde-schwarz.com/de/gateprotect-firewalls-passgenauer-netzwerkschutz]
  • Schützen Sie Ihr Netzwerk von Anfang an mit Netzwerkanalyse-Tools wie das R&S®PACE 2

Hier noch weitere Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI):

• De-Aktivierung der Auto-Update-Funktion der Software MeDoc oder Sperrung der Domain upd.me-doc.com.ua (92.60.184.55)

• Aufgrund der Ausnutzung der gängigen Administratorenwerkzeuge psexec und wmic sollten die Administratorenrechte überprüft werden

• Lokale Administratoren sollten sich nicht über das interne Netz einloggen können

• Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben.

• Idealerweise sollte der lokale Administrator deaktiviert sein

• Netzwerke müssen segmentiert werden

• Einspielen des Microsoft-Patches MS17-010

• Aktualisierung der eingesetzten Antiviren-Programme

• Mit bereits bestehenden Backups können Daten ersetzt werden

Kontaktieren Sie uns mit Ihren Herausforderungen für IT-Sicherheit

Informationen anfordern

Sie haben Fragen oder benötigen weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Marketing-Einverständniserklärung

Ich möchte Informationen von Rohde & Schwarz erhalten per

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Ihre Anfrage wurde erfolgreich versendet. Wir nehmen in Kürze Kontakt mit Ihnen auf.
Leider ist bei der Übermittlung der Daten ein Fehler aufgetreten. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut.